instrukcjepdf.pl

Instrukcja konfiguracji NAT Cisco IOS XE

Kompleksowy przewodnik po konfiguracji Network Address Translation (NAT) w systemie Cisco IOS XE. Dowiedz się, jak skonfigurować NAT statyczny, dynamiczny, przeciążenie (PAT), równoważenie obciążenia TCP oraz limity szybkości.

Szybkie odpowiedzi z instrukcji

Szybka odpowiedź

  • NAT w Cisco IOS XE służy do translacji adresów IP, co pozwala na oszczędzanie publicznych adresów IP, ukrywanie struktury sieci wewnętrznej oraz umożliwienie dostępu do Internetu dla hostów z prywatnymi adresami. str. 1, 5

Najważniejsze czynności

  • Konfiguracja NAT statycznego str. 12, 13
  • Konfiguracja NAT dynamicznego str. 14, 15

Problemy i rozwiązania

Wysokie zużycie zasobów przez wirusy/ataki

Użyj funkcji Rate Limiting NAT Translation (ip nat translation max-entries).

str. 32, 33

Dane techniczne

Parametr Wartość Znaczenie Strony
Domyślny timeout (bez overloading) 24 godziny Czas po jakim proste wpisy translacji wygasają. str. 19
Domyślny timeout UDP 300 sekund Czas wygasania translacji UDP. str. 20
Domyślny timeout TCP 7440 sekund Czas wygasania translacji TCP. str. 20

Gdzie szukać w PDF

  • Konfiguracja NAT statycznego str. 12, 13
  • Konfiguracja NAT dynamicznego str. 14, 15
  • Równoważenie obciążenia TCP str. 23, 24
Spis treści

Obrazy z instrukcji

Kliknij obraz, aby powiększyć
Schemat translacji źródłowego adresu wewnętrznego (NAT Inside Source Translation) Strona 7 Ilustruje działanie NAT Overloading (PAT) z wykorzystaniem portów. Strona 8 Schemat translacji nakładających się sieci (NAT Translating Overlapping Addresses) Strona 9 Schemat równoważenia obciążenia TCP (NAT TCP Load Distribution) Strona 10

Najważniejsze informacje z instrukcji

Niniejszy dokument opisuje konfigurację funkcji Network Address Translation (NAT) w systemie Cisco IOS XE. NAT jest używany do oszczędzania publicznych adresów IP, ukrywania struktury sieci wewnętrznej oraz umożliwiania komunikacji między sieciami o różnych schematach adresowania. Przed przystąpieniem do konfiguracji należy zidentyfikować interfejsy wewnętrzne (inside) i zewnętrzne (outside) oraz określić cel translacji.

Jak działa NAT

NAT działa na routerze, zazwyczaj łącząc dwa typy sieci: wewnętrzną (stub domain) i zewnętrzną (backbone). Router tłumaczy adresy lokalne na adresy globalne (i odwrotnie) zgodnie z tablicą translacji NAT. Główne typy NAT to:

Schemat translacji nakładających się sieci (NAT Translating Overlapping Addresses)
Schemat translacji nakładających się sieci (NAT Translating Overlapping Addresses)
  • Static NAT: Mapowanie 1:1 między adresem lokalnym a globalnym.
  • Dynamic NAT: Mapowanie adresów lokalnych na pulę adresów globalnych.
  • Overloading (PAT): Mapowanie wielu adresów lokalnych na jeden adres globalny przy użyciu różnych portów.

Konfiguracja NAT statycznego

Translacja statyczna jest przydatna, gdy host wewnątrz sieci musi być dostępny pod stałym adresem z zewnątrz. Aby skonfigurować:

Schemat translacji źródłowego adresu wewnętrznego (NAT Inside Source Translation)
Schemat translacji źródłowego adresu wewnętrznego (NAT Inside Source Translation)
  1. Wejdź w tryb konfiguracji globalnej: configure terminal.
  2. Użyj komendy: ip nat inside source static local-ip global-ip.
  3. Skonfiguruj interfejsy wewnętrzne i zewnętrzne za pomocą komend ip nat inside oraz ip nat outside w trybie konfiguracji interfejsu.

Konfiguracja NAT dynamicznego

Translacja dynamiczna mapuje adresy lokalne na pulę adresów globalnych. Kroki konfiguracji:

  1. Zdefiniuj pulę adresów: ip nat pool name start-ip end-ip netmask netmask.
  2. Stwórz listę dostępu (ACL) dla adresów do translacji: access-list access-list-number permit source.
  3. Powiąż listę z pulą: ip nat inside source list access-list-number pool name.

Konfiguracja przeciążenia (PAT)

PAT pozwala wielu użytkownikom korzystać z jednego adresu globalnego. Wymaga dodania słowa kluczowego overload do komendy konfiguracji NAT: ip nat inside source list access-list-number pool name overload.

Ilustruje działanie NAT Overloading (PAT) z wykorzystaniem portów.
Ilustruje działanie NAT Overloading (PAT) z wykorzystaniem portów.

Równoważenie obciążenia TCP

Można skonfigurować wirtualny host, który rozdziela połączenia przychodzące między wiele rzeczywistych hostów. Użyj komendy ip nat pool ... type rotary oraz ip nat inside destination-list access-list-number pool name.

Schemat równoważenia obciążenia TCP (NAT TCP Load Distribution)
Schemat równoważenia obciążenia TCP (NAT TCP Load Distribution)

Limity szybkości i bezpieczeństwo

System pozwala na ograniczanie liczby wpisów NAT w celu ochrony przed atakami typu DoS lub wirusami. Użyj komendy ip nat translation max-entries, aby ustawić limity dla hostów, list dostępu lub instancji VRF.

Rozwiązywanie problemów

Do monitorowania i diagnozowania NAT służą komendy:

  • show ip nat translations: Wyświetla aktywne translacje.
  • show ip nat statistics: Wyświetla statystyki użycia pul i mapowań.

Informacje o producencie

Cisco Systems, Inc.

Profil marki
Strona producenta https://www.cisco.com Wsparcie https://www.cisco.com/c/en/us/support/index.html Manuale producenta https://www.cisco.com/c/en/us/support/docs-technical-notes-install-guides.html

Praktyczna pomoc

Typowe problemy

Korupcja pakietów na porcie 5060

NAT domyślnie interpretuje port 5060 jako SIP. Jeśli inne aplikacje używają tego portu, może dojść do błędów. Upewnij się, że port 5060 nie jest używany przez inne aplikacje lub przekonfiguruj NAT.

Brak łączności z interfejsem zewnętrznym

W Cisco IOS XE interfejsy zewnętrzne są widoczne w tablicach translacji. Należy jawnie odrzucić interfejs zewnętrzny w liście dostępu NAT za pomocą komendy 'deny'.

Przed użyciem

  • Zidentyfikuj interfejsy, które mają być wewnętrzne (inside) i zewnętrzne (outside).
  • Określ, czy potrzebujesz NAT statycznego, dynamicznego czy PAT.
  • Upewnij się, że listy dostępu (ACL) są skonfigurowane przed rozpoczęciem zadań NAT.
  • Sprawdź, czy adresy IP w puli NAT nie nakładają się na adresy interfejsów.

Parametry w praktyce

Overloading (PAT)
Wielu użytkowników współdzieli jeden adres globalny dzięki różnym portom TCP/UDP.

Ilustracje i schematy

  • Schematy przedstawiają przepływ pakietów między siecią wewnętrzną a zewnętrzną przez router NAT.
  • Tabele NAT pokazują, jak adresy lokalne są mapowane na adresy globalne w zależności od protokołu i portu.

Zgodność modelu

  • NAT nie obsługuje komendy 'permit ip any any' w listach dostępu używanych z NAT.
  • NAT nie obsługuje list dostępu z zakresem portów.
  • NAT, Zone-Based Policy Firewall i WCCP nie mogą współistnieć w jednej sieci.

Podobne instrukcje

Powiązane instrukcje z tej samej marki lub kategorii.

Autor opracowania

Piotr Nowak

Analityk dokumentacji PDF

Opracowuje instrukcje obsługi pod kątem przejrzystości, bezpieczeństwa i szybkiego odnalezienia informacji potrzebnych przed użyciem produktu.